この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Identity Service Engine(ISE)とセキュアアクセスを使用して、リモートアクセスVPNユーザのポスチャアセスメント(FSA)を設定する方法について説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のハードウェアに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
セキュアアクセス – ISE – 図
Cisco Secure AccessとIdentity Services Engine(ISE)を統合することで、MS-CHAPv2などのさまざまな認証プロトコルを活用して接続を保護する包括的なセキュリティアプローチが実現します。Cisco Secure Accessは、高度なセキュリティサービスエッジ(SSE)ソリューションを使用して、高度に分散化された環境全体のセキュアな接続を強化し、ISE機能を使用して保護できるVPN as a Service(VPNaaS)などの機能を提供します。
この統合により、シームレスでセキュアなアクセスエクスペリエンスが実現し、ユーザは場所やアプリケーションを問わず、最適なパフォーマンスとセキュリティで接続できます。ポスチャアセスメントなどのCisco ISEの高度な機能を使用することで、アクセスを許可する前に内部ユーザポリシーに対してPCのコンプライアンスを評価できるため、このセキュリティモデルがさらに強化されます。これにより、組織のセキュリティ要件を満たすデバイスのみがネットワークリソースにアクセスできるようになり、脆弱性のリスクが軽減されます。
注:RADIUS統合を設定するには、両方のプラットフォーム間で通信が行われていることを確認する必要があります。
注:設定プロセスを開始する前に、「セキュアアクセスとISE統合の最初の手順」を完了する必要があります。
Radiusを使用してVPNプロファイルを設定するには、次の手順に進みます。
Secure Access Dashboardに移動します。
Connect > Enduser Connectivity > Virtual Private Network
Manage IP Pools
)で、Manage
Group Name
:セキュアアクセスでISE統合の名前を設定します。
AAA method
Authentication
:Authentication
のチェックボックスをオンにして、ポートを選択します。デフォルトは1812です。
Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)
が必要な場合は、チェックボックスをオンにしますAuthorization
:Authorization
のチェックボックスをオンにして、ポートを選択します。デフォルトは1812です。
Authorization mode Only
およびChange of Authorization (CoA) mode
()のチェックボックスをオンにして、ISEからのポスチャと変更を許可します。Accounting
:Authorizationのチェックボックスをオンにし、ポートを選択します。デフォルトは1813です。
Single or Simultaneous
を選択します(シングルモードでは、アカウンティングデータは1つのサーバだけに送信されます。同時モードでは、グループ内のすべてのサーバへのアカウンティングデータ)Accounting update
のチェックボックスをオンにします。注意:Authentication
とAuthorization
の両方の方法を選択する場合は、同じポートを使用する必要があります。
RADIUS Servers
(ISE)をRADIUS Servers
のセクションで設定する必要があります。+ Add
Server Name
:ISEサーバを識別するための名前を設定します。IP Address
:セキュアアクセスを介して到達可能なCisco ISEデバイスのIPを設定しますSecret Key
:RADIUS秘密鍵の設定Password
:RADIUSパスワードを設定します。Save
をクリックし、Assign Server
オプションの下にRadiusサーバを割り当て、ISEサーバを選択します。Save
をもう一度クリックして、すべての設定を保存しますIPプールでISEサーバを設定したので、次はVPN Profiles
で設定する必要があります。
VPNプロファイルを設定するには、セキュアアクセスダッシュボードに移動します。
Connect > Enduser Connectivity > Virtual Private Network
VPN Profiles
: + Add
VPN Profile name
:プロファイル名を設定しますDefault Domain
:ドメインを設定します。DNS Server
:設定したドメインネームサーバ(DNS)サーバを選択します。Protocol
:VPNで許可する必要があるプロトコルを設定しますConnect Time posture
:ポスチャを選択するか、または「なし」のままにします。Next
[Authentication]
Authentication
Protocols
:選択 Radius
Map authentication groups to regions
:地域を選択し、 Radius Groups
Next
注:複数のリージョンがある場合は、すべてのリージョンにチェックマークを付け、RADIUSグループを選択する必要があります。この操作を行わないと、「Next
」ボタンがグレー表示になります。
すべての認証部分を設定した後、認可に進んでください。
許可
Authorization
Enable Radius Authorization
:チェックボックスをオンにして、RADIUS認証を有効にします。Next
すべてのAuthorization
部品を設定したら、Accounting
に進んでください。
注:Radio Authorization
を有効にしないと、ポスチャは機能しません。
アカウンティング
Accounting
Map Authorization groups to regions
:地域を選択し、 Radius Groups
Next
After you have done configured the
Authentication, Authorization and Accounting
please continue withTraffic Steering
.
トラフィックステアリングの下で、セキュアアクセスを介した通信のタイプを設定する必要があります。
Connect to Secure Access
を選択すると、すべてのインターネットトラフィックは Secure Access
インターネットドメインまたはIPの除外を追加する場合は、「+ Add
」ボタンをクリックし、「Next
」をクリックします。
Bypass Secure Access
を実行すると、すべてのインターネットトラフィックは、インターネットプロバイダーを経由しSecure Access
(インターネット保護なし)は通過しません注:Bypass Secure Access
を選択する際は、ISEポスチャにenroll.cisco.com
を追加してください。
この手順では、VPN経由でアクセスするすべてのプライベートネットワークリソースを選択します。そのためには、+ Add
をクリックし、すべてのリソースを追加したらNext
をクリックします。
このステップでは、すべてをデフォルトのままにして「Save
」をクリックできますが、設定をさらにカスタマイズする場合は、『Cisco Secure Client管理者ガイド』を確認してください。
Cisco ISE経由で認証を設定するには、Cisco ISEに対してクエリを実行できる許可されたデバイスを設定する必要があります。
Administration > Network Devices
+ Add
Name
:名前を使用してセキュアアクセスを識別するIP Address
:手順のManagement Interface
のIPプール領域を設定します。Device Profile
:シスコを選択
Radius Authentication Settings
Shared Secret
:ステップで設定したのと同じ共有秘密(秘密鍵)を設定します。CoA Port
:デフォルトで使用します。1700はセキュアアクセスでも使用されます。その後、Save
をクリックして、統合が正しく機能するかどうかを確認してから、統合検証用のローカルユーザの作成に進みます。
ローカルユーザで使用するグループを設定するには、次の手順を実行します。
Administration > Groups
User Identity Groups
+ Add
Name
を作成し、 Submit
ローカルユーザを設定して統合を確認するには、次の手順を実行します。
Administration > Identities
Add +
Username
:セキュアアクセスで既知のUPNプロビジョニングを使用してユーザ名を設定します。これは、手順「前提条件Status
:アクティブPassword Lifetime
:必要に応じて、With Expiration
またはNever Expires
を設定できます。Login Password
:ユーザのパスワードを作成します。User Groups
:Configure a Groupのステップで作成したグループを選択します。注:UPNに基づく認証は、今後のSecure Accessのバージョンで変更される予定です。
その後、設定をSave
して、Configure Policy Set
の手順を続行できます。
ポリシーセットの下で、認証および認可時にISEが実行するアクションを設定します。このシナリオでは、ユーザアクセスを提供する簡単なポリシーを設定する使用例を示します。まず、ISEはRADIUS認証の送信元を確認し、ISEユーザデータベースにIDが存在するかどうかをチェックしてアクセスを提供します
このポリシーを設定するには、Cisco ISEダッシュボードに移動します。
Policy > Policy Sets
+
」をクリックして新しいポリシーセットを追加します。この場合、デフォルトのポリシーセットで動作するのではなく、新しいポリシーセットを作成します。次に、そのポリシーセットに基づいて認証と認可を設定します。設定されたポリシーは、「ネットワークデバイスのリストの設定」の手順で定義されたネットワークデバイスへのアクセスを許可し、これらの認証がCSA Network Device List
から到達していることを確認してから、Conditions
としてポリシーに到達するようにします。最後に、Default Network Access
のように、許可されるプロトコルについて説明します。
ポリシーセットに一致する「condition
」を作成するには、次の手順に進みます。
+
Condition Studio
では、次の情報が表示されます。 Click to add an attribute
Network Device
」ボタンをクリックします。 Network Access
- Network Device Name
オプションをクリックします。Network Device
の名前を入力しますSave
CSA
このポリシーは、ポリシーセット「CSA-ISE
」に基づいて「Authentication
」および「Authorization
」の設定を続行するための送信元からの要求のみを承認し、許可されたプロトコルに対する「 Default Network Access
」に基づいて許可されたプロトコルも検証します。
定義されたポリシーの結果は次のようになります。
Default Network Access Protocols
」を確認するには、次の手順に進みます。
Policy > Results
Allowed Protocols
Default Network Access
Default Network Access
Policy Set
の下にAuthentication
とAuthorization
ポリシーを作成するには、次の手順に進みます。
>
Authentication
とAuthorization
のポリシーが表示されます。 認証ポリシー
認証ポリシーについては、さまざまな方法で設定できます。この場合、手順「ネットワークデバイスリストの設定」で定義されたデバイスのポリシーが表示され、特定の基準に基づいて認証が確認されます。
Network Device CSA
で認証されたユーザの認証は成功したか、拒否されました。このポリシーは、ポリシーセットの設定の手順で定義されているポリシーと同じです。
認可ポリシー
認可ポリシーはさまざまな方法で設定できます。この場合、「グループの設定」の手順で定義したグループのユーザだけを認可します。認可ポリシーを設定するには、次の例を参照してください。
Authorization Policy
+
をクリックして、次のような許可のポリシーを定義します。 Rule Name
Conditions
、および Profiles
Name
を設定するときは、認可ポリシーを簡単に識別できるように名前を設定します Condition
を設定するには、 +
Condition Studio
の下に、次の情報があります。 Click to add an attribute
Identity Group
」ボタンをクリックします。 IdentityGroup
オプションをクリックします。Equals
」オプションの下にあるドロップダウンを使用して、手順「Configure a Group」で認証が承認されたGroup
グループを検索しますSave
Use
その後で、次のコマンドを定義する必要があります。 Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.
Authorization Policy
の下にあるドロップダウンボタンをクリックして、 Profiles
PermitAccess
Save
その後、Authentication
と Authorization
<policy>を定義しました。ユーザが問題なく接続するかどうか、およびセキュアアクセスとISEのログを表示できるかどうかを確認するために認証します。
VPNに接続するには、セキュアアクセスで作成されたプロファイルを使用し、セキュアクライアントを介してISEプロファイルで接続します。
Monitor > Remote Access Log
Cisco ISE Dashboard
Operations > Live Logs
このシナリオでは、内部リソースへのアクセスを許可または拒否する前に、エンドポイントのコンプライアンスを確認する設定を作成します。
これを設定するには、次の手順に進みます。
Work Center > Policy Elements > Conditions
Anti-Malware
注:デバイスのポスチャを検証し、内部ポリシーに基づいて正しい評価を行うための多くのオプションがあります。
Anti-Malware Conditions
で、 + Add
Name
:名前を使用してマルウェア対策条件を認識するOperating System
:条件の下に置くオペレーティングシステムを選択しますVendor
:ベンダーまたはANYを選択しますCheck Type
:エージェントがインストールされているかどうか、またはそのオプションの定義バージョンを確認できます。Products for Selected Vendor
では、デバイスのマルウェア対策について確認する内容を設定します。設定が完了したら、Configure Posture Requirements
の手順に進みます。
Work Center > Policy Elements > Requeriments
Edit
」をクリックし、 Insert new Requirement
Name
:マルウェア対策要件を認識するための名前を設定しますOperating System
:条件ステップ「オペレーティングシステム」で選択したオペレーティングシステムを選択します。 Compliance Module
:条件ステップ「マルウェア対策条件」で選択したものと同じコンプライアンスモジュールを必ず選択する必要がありますPosture Type
:エージェントの選択Conditions
:ポスチャ条件の設定の手順で作成した1つ以上の条件を選択します。Remediations Actions
:この例では「Message Text Only
」を選択するか、別の修復操作がある場合は「remediation action」を使用しますSave
設定が完了したら、次の手順に進みます。 Configure Posture Policy
Work Center > Posture Policy
Edit
」をクリックし、 Insert new Policy
Status
:チェックボックスをオンにし、ポリシーを有効にしないRule Name
:設定したポリシーを認識するための名前を設定します。Identity Groups
:評価するIDを選択しますOperating Systems
:前に設定した条件と要件に基づいてオペレーティングシステムを選択します。Compliance Module
:事前に設定された条件と要件に基づいて、コンプライアンスモジュールを選択しますPosture Type
:エージェントの選択Requeriments
:ステップ「ポスチャ要件の設定」で設定した要件を選択します。Save
ユーザにISEモジュールを提供するには、マシンにISEポスチャモジュールを装備するようにクライアントプロビジョニングを設定します。これにより、エージェントのインストール後にマシンのポスチャを確認できます。このプロセスを続行するには、次の手順を実行します。
ISEダッシュボードに移動します。
Work Center > Client Provisioning
Resources
クライアントプロビジョニングでは、次の3つのことを設定する必要があります。
構成するリソース |
説明 |
1. |
Secure Client Web Provisioningパッケージ。 |
2. |
Cisco ISEコンプライアンスモジュール |
を選択します。 |
プロビジョニングプロファイルの制御。 |
を選択します。 |
エージェントプロファイルとエージェントリソースを使用してプロビジョニングポータルを設定し、プロビジョニングするモジュールを定義します。 |
Step 1
エージェントリソースのダウンロードとアップロード
+ Add > Agent resources from local disk
し、パッケージをアップロードします。+ Add > Agent resources from Cisco Site
Save
+ Add > Agent Posture Profile
Name
を作成して、 Posture Profile
*
を入れ、その後にSave
をクリックします+ Add > Agent Configuration
Select Agent Package
: Step1 Download and Upload Agent Resourcesでアップロードしたパッケージを選択します。Configuration Name
:名前を選択して、 Agent Configuration
Compliance Module
: ステップ2「コンプライアンスモジュールのダウンロード」でダウンロードしたコンプライアンスモジュールを選択します。Cisco Secure Client Module Selection
ISE Posture
:チェックボックスをオンにするProfile Selection
ISE Posture
: Step3 Configure the Agent Profileで設定したISEプロファイルを選択します。Save
注:各オペレーティングシステム(Windows、Mac OS、またはLinux)に独立した1つのクライアント設定を持たせることをお勧めします。
最後の手順で設定したISEポスチャおよびモジュールのプロビジョニングを有効にするには、プロビジョニングを行うようにポリシーを設定する必要があります。
Work Center > Client Provisioning
注:オペレーティングシステム(Windows、Mac OS、またはLinux)ごとに1つのクライアント設定ポリシーを設定することをお勧めします。
Rule Name
:デバイスタイプとアイデンティティグループの選択に基づいてポリシー名を設定し、各ポリシーを簡単に識別できるようにしますIdentity Groups
:ポリシーで評価するIDを選択しますOperating Systems
:ステップ「エージェントパッケージの選択」で選択したエージェントパッケージに基づいてオペレーティングシステムを選択しますOther Condition
:手順で設定した方式(RADIUSグループの追加)に基づいてNetwork Access
Authentication Method
EQUALS
を選択するか、または空欄のままにしておきます。Result
:手順4で設定したエージェント設定を選択します。エージェント設定の設定
Native Supplicant Configuration
: Config Wizard
とを選択します Wizard Profile
認可プロファイルは、認証パス後のユーザポスチャに応じて、リソースへのアクセスを制限します。ユーザがポスチャに基づいてアクセスできるリソースを判別するには、認可を確認する必要があります。
許可プロファイル |
説明 |
ユーザ準拠 – エージェントがインストール済み – ポスチャ検証済み |
|
ユーザUnknown Compliant – エージェントのインストールにリダイレクト – ポスチャ確認待ち |
|
ユーザーが非準拠 – アクセスを拒否 |
DACLを設定するには、ISEダッシュボードに移動します。
Name
: DACL準拠を参照する名前を追加します。IP version
:選択 IPv4
DACL Content
:
ネットワークのすべてのリソースへのアクセスを許可するダウンロード可能なアクセスコントロールリスト(DACL)を作成するpermit ip any any
Save
をクリックして、Unknown Compliance DACLを作成します
Name
:DACL-Unknown-Compliantを参照する名前を追加します。IP version
:選択 IPv4
DACL Content:
ポート8443経由でのネットワーク、DHCP、DNS、HTTP、およびプロビジョニングポータルへの制限付きアクセスを提供するDACLを作成しますpermit udp any any eq 67
permit udp any any eq 68
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
注:このシナリオでは、IPアドレス192.168.10.206はCisco Identity Services Engine(ISE)サーバに対応し、ポート8443はプロビジョニングポータル用に指定されています。つまり、IPアドレス192.168.10.206へのポート8443経由のTCPトラフィックが許可され、プロビジョニングポータルへのアクセスが容易になります。
この時点で、認可プロファイルを作成するために必要なDACLが完成します。
認可プロファイルを設定するには、ISEダッシュボードに移動します。
Work Centers > Policy Elements > Authorization Profiles
+Add
Compliant Authorization Profile
Name
:準拠する認可プロファイルを参照する名前を作成しますAccess Type
:選択 ACCESS_ACCEPT
Common Tasks
DACL NAME
:ステップCompliant DACLで設定されたDACLを選択します。Save
をクリックして、 Unknown Authorization Profile
Work Centers > Policy Elements > Authorization Profiles
+Add
Uknown Compliant Authorization Profile
Name
:不明な準拠認可プロファイルを参照する名前を作成します。Access Type
:選択 ACCESS_ACCEPT
Common Tasks
DACL NAME
:ステップUnknown Compliant DACLで設定したDACLを選択します。Web Redirection (CWA,MDM,NSP,CPP)
Client Provisioning (Posture)
ACL
:次の値でなければなりません。 redirect
Value
:デフォルトのプロビジョニングポータルを選択します。別のポータルを定義した場合は、それを選択します注:すべての導入でのセキュアアクセスでのリダイレクトACLの名前は、redirect
です。
これらすべての値を定義した後は、Attributes Details
の下に同様の値を設定する必要があります。
Save
をクリックして設定を終了し、次のステップに進みます。
作成するこれらの3つのポリシーは、設定した認可プロファイルに基づいています。DenyAccess
では、別の認可プロファイルを作成する必要はありません。
ポリシーセット – 許可 |
許可プロファイル |
準拠 |
|
不明な準拠 |
|
非準拠 |
ISEダッシュボードに移動します
Work Center > Policy Sets
>
、作成したポリシーにアクセスしますAuthorization Policy
+
」をクリックして「CSA-Compliance
」ポリシーを定義します。 Rule Name
Conditions
、および Profiles
Name
コマンドで名前を設定し、 CSA-Compliance
Condition
を設定するには、 +
Condition Studio
の下に、次の情報があります。 compliant
Compliant_Devices
Editor
network
Network_Access_Authentication_Passed
Editor
Editor
New
Identity Group
アイコンをクリックします。Internal User Identity Group
Equals
で、照合するUser Identity Group
を選択しますUse
Profile
をクリックし、手順で設定したクレーム認可プロファイル、Compliant Authorization Profileを選択します。Compliance Policy Set
を設定しました。
Rule Name
Conditions
、および Profiles
Name
コマンドで名前を設定し、 CSA-Unknown-Compliance
Condition
を設定するには、 +
Condition Studio
の下に、次の情報があります。 compliance
Compliant_Unknown_Devices
Editor
network
Network_Access_Authentication_Passed
Editor
Editor
New
Identity Group
アイコンをクリックします。Internal User Identity Group
Equals
で、照合するUser Identity Group
を選択しますUse
Profile
をクリックし、手順で設定されたクレーム認可プロファイル、Unknown Compliant Authorization Profileを選択します。Unknown Compliance Policy Set
を設定しました。
+
をクリックして、CSA- Non-Compliant
ポリシーを定義します。 Rule Name
Conditions
、および Profiles
Name
コマンドで名前を設定し、 CSA-Non-Compliance
Condition
を設定するには、 +
Condition Studio
の下に、次の情報があります。 non
Non_Compliant_Devices
Editor
network
Network_Access_Authentication_Passed
Editor
Editor
New
Identity Group
アイコンをクリックします。Internal User Identity Group
Equals
で、照合するUser Identity Group
を選択しますUse
Profile
」をクリックし、苦情認証プロファイルを選択します DenyAccess
3つのプロファイルの設定を終了すると、ポスチャとの統合をテストする準備が整います。
セキュアクライアント経由でセキュアアクセスで提供されるFQDN RA-VPNドメインに接続します。
注:この手順では、ISEモジュールをインストールする必要はありません。
1. セキュアクライアントを使用して接続します。
2. 認証のためにクレデンシャルを入力します。
3. この時点で、VPNに接続し、通常はISEにリダイレクトされます。リダイレクトされない場合は、http:1.1.1.1
に移動します。
注:この時点では、マシンにISEポスチャエージェントがインストールされていないため、認証ポリシーセットCSA-Unknown-Complianceの対象になりますが、ISEプロビジョニングポータルにリダイレクトされてエージェントをインストールします。
4. [開始]をクリックして、エージェントのプロビジョニングを続行します。
5. 「+ This is my first time here
」をクリックします。
6. クリック Click here to download and install agent
7. エージェントのインストール
8. エージェントのインストール後、ISEポスチャはマシンの現在のポスチャの確認を開始します。ポリシーの要件が満たされていない場合は、コンプライアンスに向けて誘導するポップアップが表示されます。
注:Cancel
を実行するか残りの時間が終了すると、自動的に非準拠になり、認可ポリシーセットCSA-Non-Complianceに分類され、すぐにVPNから切断されます。
9. セキュアエンドポイントエージェントをインストールし、VPNに再接続します。
10. エージェントがマシンがコンプライアンスに準拠していることを確認した後、ポスチャが準拠に変わり、ネットワーク上のすべてのリソースへのアクセスを許可します。
注:ポリシーに準拠すると、認証ポリシーセットCSA-Complianceの対象となり、すぐに全ネットワークリソースにアクセスできます。
ユーザの認証結果を確認するには、コンプライアンスと非コンプライアンスの2つの例があります。ISEで確認するには、次の手順に従います。
Operations > Live Logs
次のthoシナリオでは、正常なコンプライアンスイベントと非コンプライアンスイベントがLive Logs
の下にどのように表示されるかを示しています。
次の例では、Cisco ISEはネットワーク192.168.10.0/24の下にあり、トンネルを介して到達可能なネットワークの設定をトンネル設定の下に追加する必要があります。
これを確認するには、セキュアアクセスダッシュボードに移動してください。
Connect > Network Connections
Network Tunnel Groups
> Your Tunnelの順にクリックしますStep 2
:ファイアウォールでトラフィックを許可します。
セキュアアクセスでRADIUS認証にISEデバイスを使用できるようにするには、ネットワークへのセキュアアクセスからのルールに必要なRADIUSポートを設定しておく必要があります。
ルール |
出典 |
宛先 |
宛先ポート |
ISEによるセキュアなアクセス 管理プール |
ISE_サーバ |
管理IPプール(RA-VPN) |
COA UDP 1700(デフォルトポート) |
ISEへのセキュアアクセス管理IPプール |
管理IPプール |
ISE_サーバ |
認証、許可 UDP 1812(デフォルトポート) アカウンティング UDP 1813(デフォルトポート) |
ISEへのセキュアアクセスエンドポイントIPプール |
エンドポイントIPプール |
ISE_サーバ |
プロビジョニングポータル TCP 8443(デフォルトポート) |
DNSサーバへのセキュアアクセスエンドポイントIPプール |
エンドポイントIPプール |
DNS サーバ |
DNS UDPおよびTCP 53 |
注:ISEに関連するその他のポートについては、『ユーザガイド:ポート参照』を参照してください。
注:ise.ciscosspt.esなどの名前で検出されるようにISEを設定した場合は、DNSルールが必要です。
管理プールとエンドポイントIPプール
管理およびエンドポイントIPプールを確認するには、セキュアアクセスダッシュボードに移動します。
Connect > End User Connectivity
Virtual Private Network
Manage IP Pools
クリック Manage
ステップ3:ISEがプライベートリソースで設定されていることを確認します
VPN経由で接続しているユーザがISE Provisioning Portal
にアクセスできるようにするには、アクセスを提供するプライベートリソースとしてデバイスを設定していることを確認する必要があります。このリソースは、VPN経由でのISE Posture Module
の自動プロビジョニングを許可するために使用されます。
ISEが正しく設定されていることを確認するには、セキュアアクセスダッシュボードに移動します。
Resources > Private Resources
必要に応じて、プロビジョニングポータルポート(8443)にルールを制限できます。
注:VPN接続のチェックボックスがオンになっていることを確認してください。
ステップ4:アクセスポリシーでISEアクセスを許可する
VPN経由で接続しているユーザがISE Provisioning Portal
に移動できるようにするには、そのルールで設定されているユーザに対し、Step3
で設定されているプライベートリソースへのアクセスを許可するAccess Policy
を設定していることを確認する必要があります。
ISEが正しく設定されていることを確認するには、セキュアアクセスダッシュボードに移動します。
Secure > Access Policy
ISEログをダウンロードしてポスチャに関連する問題を確認するには、次の手順に進みます。
Operations > Troubleshoot > Debug Wizard
Posture > Debug Nodes
Save
注意:この後、問題の再現を開始する必要があります。the debug logs can affect the performance of your device
。
問題が再現されたら、次の手順に進みます。
Operations > Download Logs
Support Bundle
、次のオプションを選択します。
Include debug logs
Support Bundle Encryption
Shared Key Encryption
Encryption key
と Re-Enter Encryption key
Create Support Bundle
Download
警告:デバッグの設定のステップで有効にしたデバッグモードを無効にします。
セキュアアクセスダッシュボードに移動します。
Monitor > Remote Access Logs
マシンでDARTバンドルを生成するには、次の記事を確認してください。
Cisco Secure Client Diagnostic and Reporting Tool(DART)
注:トラブルシューティングセクションに示すログを収集したら、TAC
でケースをオープンして情報の分析を進めてください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
12-Apr-2024
|
初版 |